[RESOLU] pfsense 2 openvpn navigation internet

yob

Bonjour,

J'ai configuré le client vpn dans pfsense, le vpn se connecte sans aucun souci par contre quand le vpn est actif l'accès web n'est plus possible à partir des pc dernières pfsense.

Tout en sachant que quand le vpn est désactivé accès web possible à partir de pfsense et des stations situées derrières et quand le vpn est actif accès web impossible depuis les pc mais toujours possible depuis l'interface pfsense.(ping, dsnlookup …)

D'après ce que j'ai compris il faut mettre en place  une règle dans outbound NAT mais je ne sais pas laquelle.

wan pfsense 192.168.1.1
lan psense 192.168.0.12
wan default gateway 192.168.1.254
client vpn 10.8.0.6

merci d'avance pour votre aide

titofe

Manque d'information.

• Quelle sont les paramètres du client OpenVPN de pfSense?(poster une copie d'écran)

@yob:

D'après ce que j'ai compris il faut mettre en place  une règle dans outbound NAT mais je ne sais pas laquelle.

Ah bon!, j'ai plusieurs OpenVPN avec pfSense client comme serveur et je n'ai pas eu à faire cela !?

yob

voici la capture d'écran de la configuration du client openvpn
http://img816.imageshack.us/img816/2936/configvpn.jpg

et voici un extrait du log du client vpn

Sep 13 08:44:23    openvpn[18872]: PUSH: Received control message: 'PUSH_REPLY,route 212.117.0.0 255.255.255.0,redirect-gateway def1,dhcp-option DNS 10.8.0.1,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.10 10.8.0.9'
Sep 13 08:44:23    openvpn[18872]: OPTIONS IMPORT: timers and/or timeouts modified
Sep 13 08:44:23    openvpn[18872]: OPTIONS IMPORT: –ifconfig/up options modified
Sep 13 08:44:23    openvpn[18872]: OPTIONS IMPORT: route options modified
Sep 13 08:44:23    openvpn[18872]: OPTIONS IMPORT: –ip-win32 and/or --dhcp-option options modified
Sep 13 08:44:23    openvpn[18872]: ROUTE default_gateway=192.168.1.254
Sep 13 08:44:23    openvpn[18872]: TUN/TAP device /dev/tun1 opened
Sep 13 08:44:23    openvpn[18872]: do_ifconfig, tt->ipv6=0
Sep 13 08:44:23    openvpn[18872]: /sbin/ifconfig ovpnc1 10.8.0.10 10.8.0.9 mtu 1500 netmask 255.255.255.255 up
Sep 13 08:44:23    openvpn[18872]: /usr/local/sbin/ovpn-linkup ovpnc1 1500 1542 10.8.0.10 10.8.0.9 init
Sep 13 08:44:23    openvpn[18872]: /sbin/route add -net 212.117.x.x 192.168.1.254 255.255.255.255
Sep 13 08:44:23    openvpn[18872]: /sbin/route add -net 0.0.0.0 10.8.0.9 128.0.0.0
Sep 13 08:44:23    openvpn[18872]: /sbin/route add -net 128.0.0.0 10.8.0.9 128.0.0.0
Sep 13 08:44:23    openvpn[18872]: /sbin/route add -net 212.117.0.0 10.8.0.9 255.255.255.0
Sep 13 08:44:23    openvpn[18872]: /sbin/route add -net 10.8.0.1 10.8.0.9 255.255.255.255
Sep 13 08:44:23    openvpn[18872]: Initialization Sequence Completed

Information complémentaire lorsque le vpn est actif les pc derrières pfsense n'accèdent pas au web mais la résolution dns fonctionne et un tracert google par exemple s'arrête à l'adresse lan de pfsense

titofe

Pourquoi dans "Advanced" avoir mis "redirect-gateway def1"?

yob

@titofe:

Pourquoi dans "Advanced" avoir mis "redirect-gateway def1"?

pour forcer le trafic web à passer systématiquement par le vpn..

Tout en sachant que avec ou sans cette directive le problème reste le même.

titofe

pour forcer le trafic web à passer systématiquement par le vpn..

Ca ne doit pas plutôt ressembler à cela :```
push "redirect-gateway def1"

Sinon, vous n'êtes vraiment pas bavard sur les informations …
- Votre copie d'écran nous apprend que vous utilisé une autre version que la version 1.2.3-RELEASE, je suppose la v2 !?(personnellement je ne la connais pas)
- Elle nous apprend aussi que des champs bien utile ne sont pas remplie !?
- On à aucune information sur le serveur sur lequel la connexion OpenVPN s'établit, pourtant c'est lui qui fourni l'accès au net à vos client !?
- On ne connais pas les règles (Rules) utilisé, une p'tite copie d'écran peut nous être utile.
- Vous nous ne dite pas si il y a au moins quelque chose qui fonctionne, exemple : ping du réseau hôte !?
- Etc.

yob

@titofe:

Sinon, vous n'êtes vraiment pas bavard sur les informations …

• Votre copie d'écran nous apprend que vous utilisé une autre version que la version 1.2.3-RELEASE, je suppose la v2 !?(personnellement je ne la connais pas)
• Elle nous apprend aussi que des champs bien utile ne sont pas remplie !?
• On à aucune information sur le serveur sur lequel la connexion OpenVPN s'établit, pourtant c'est lui qui fourni l'accès au net à vos client !?
• On ne connais pas les règles (Rules) utilisé, une p'tite copie d'écran peut nous être utile.
• Vous nous ne dite pas si il y a au moins quelque chose qui fonctionne, exemple : ping du réseau hôte !?
• Etc.

La copie d'écran confirme que c'est la v2 comme je l'avais indiqué dans le titre, plus précisément il s'agit de la v2 beta4
Le serveur vpn fonctionne correctement car on peux tout à fait s'y connecter et naviguer sur internet avec un client openvpn classique.
En ce qui concerne les rules : une règle autorise tout ce qui proviens du lan d'aller vers le wan. Et bien entendu quand le vpn n'est pas actif tout fonctionne correctement.
Pour ce qui concerne les pings à partir des postes clients le ping est ok vers :
-l'adresse lan de pfsense 192.168.0.12
-l'adresse wan de pfsense
-l'adresse du client vpn pfsense 10.8.0.6

le ping est ko pour n'importe qu'elle adresse wan comme par exemple google.com mais la résolution dns elle fonctionne.

Pour résumer il manque une route / rule pour que les clients puissent accéder au web à travers le vpn.

titofe

…

@yob:

En ce qui concerne les rules : une règle autorise tout ce qui proviens du lan d'aller vers le wan. Et bien entendu quand le vpn n'est pas actif tout fonctionne correctement.

Bien, mais cela nous parle de WAN !?

Donc si on récapitule, un client OpenVPN autre que pfSense ce connecte bien au serveur OpenVPN mais ce qu'on ne sait toujours pas:

• quand le client est pfSense pouvez-vous accédez au réseau distant une fois le VPN établie ? par un ping ou autre?
• j'ai crue comprendre que pfSense v2 pouvez filtrer OpenVPN avec les rules, avez-vous regarder par là ?

yob

quand le vpn n'est pas actif tout fonctionne correctement. c'est à dire accès internet sans problème que ce soit à partir des postes derrières pfsense ou à partir de pfsense directement avec les outils de diagnostics comme ping ou traceroute.
Quand le vpn est actif l'accès internet à travers le vpn est accessible à pfsense c'est à dire que les pings et traceroute sont parfaitement fonctionnels depuis l'interface pfsense alors que les pcs derrières pfsense n'ont plus l'accès internet.

Concernant les rules wan actuellement il n'y a aucune règle en place.

Je confirme qu'avec pfsense v2 ont peux filtrer l'interface virtuelle de l'openvpn actuellement aucune règle mise en place.

titofe

@yob:

Je confirme qu'avec pfsense v2 ont peux filtrer l'interface virtuelle de l'openvpn actuellement aucune règle mise en place.

Hormis changement de politique avec la v2 …, sinon aucune règle (rules) de définie veux dire que rien ne passe ... donc pas d'accès web, réseau distant, etc.

yob

Comme je l'ai indiqué une seule règle activée celle qui permet à tout ce qui est lan d'accéder au wan. Et je confirme la politique n'a pas changé tout est bloqué par défaut.

pour plus de précision voici une capture des règles wan et lan.

titofe

Et quelles sont les règles (rules) établie dans l'onglet 'OpenVPN', sauf erreur de ma part, mais le filtrage doit aussi ce faire même si pfSense n'est que client.
Donc pas de rules qui donne explicitement l'accès dans le tunnel, pas d'accès.

yob

l'onglet OpenVPN ne contient actuellement aucune règle

titofe

@yob:

l'onglet OpenVPN ne contient actuellement aucune règle

Eh alors …!!? ne faut-il pas justement une règle (rules) pour que cela fonctionne?

yob

je pense que oui mais justement je ne sais pas trop quelle règle mettre en place

titofe

Pour effectué un test, la même règle (rules) que le Lan conviendra, ensuite il faudra restreindre par rapport à vos besoin.

yob

@titofe:

Pour effectué un test, la même règle (rules) que le Lan conviendra, ensuite il faudra restreindre par rapport à vos besoin.

la même règle que le lan a été mise en place mais le problème n'a pas changé.

titofe

Peut on avoir une copie d'écran de la rules pour le tunnel OpenVPN.

Vous n'êtes décidément vraiment pas bavard, on aimerais savoir quelle sont les test que vous avez effectué et leur résulta pour en arriver à cette conclusion …

yob

voici une capture des rules qui ont été testées pour l'openvpn

Même test qu'avant cad ping et traceroute à partir de fpsense avec vpn actif aucun problème.

Traceroute output www.google.fr

 1  10.8.0.1 (10.8.0.1)  136.710 ms  43.986 ms  43.027 ms
 2  xxxxxxxxxxx (212.117.xxx.x)  44.324 ms  73.355 ms  117.091 ms
 3  40g.lxb-fra.as5577.net (83.243.12.2)  231.473 ms  249.051 ms  252.606 ms
 4  de-cix10.net.google.com (80.81.192.108)  89.033 ms  249.517 ms  212.826 ms
 5  209.85.255.170 (209.85.255.170)  277.888 ms  247.145 ms  193.864 ms
 6  72.14.233.104 (72.14.233.104)  258.132 ms  295.940 ms  263.036 ms
 7  64.233.175.115 (64.233.175.115)  258.678 ms  195.587 ms  217.760 ms
 8  par03s01-in-f104.1e100.net (66.249.92.104)  223.683 ms  232.377 ms  208.161 ms

Avec vpn actif les postes derrières pfsense n'accèdent pas à internet. (que ce soit avec un navigateur web, client ftp, client ssh …)
à partir de ces postes ping ok de l'interface lan (192.168.0.12) et de l'interface wan de fpsense  et pink ok aussi pour l'adresse du client vpn (10.8.0.6)
un traceroute google.fr s'arrête à l'adresse lan de pfsense

jdh

Compte tenu des règles, cela me semble très logique !

Pour info, "LAN net" ne saurait guère être identique au réseau des clients VPN !